sidetech

(元)インフラエンジニアの寄り道メモ。

Juniper SRXでClusterしてPPPoEな設定

久々の投稿で、備忘録です。

SRXでCluster化とか、PPPoEの設定とかは世の中に散見するのですが、どちらも併せ持った条件の情報が全然拾えなくて少し苦労しました。

 

てことで・・・ポイントを絞ったConfigを書き残しておきますです。

んで、ここではCluster化の話は省きますです。

作動確認はSRX320でVertionは15.1X49-D130と15.1X39D140です。

ポートの割り当ては以下の通り(SRX320の場合)

ge-0/0/0 & ge-3/0/0: fxp0(マネージメント)

ge-0/0/1 & ge-3/0/1 : fxp1(コントロールリンク)

ge-0/0/2 & ge-3/0/2 : fab0/fab1(ファブリックリンク)

ge-0/0/3 & ge-3/0/3 : untrust (WAN側・今回はPPPoE接続)

ge-0/0/4 & ge-3/0/4 : DMZ(今回は未設定)

ge-0/0/5 & ge-3/0/5 : trust(LAN側)

 

#security のzonesより

    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                reth5.0;   #LAN側
            }
        }
        security-zone untrust {
            screen untrust-screen;
            host-inbound-traffic {
                system-services {
                    ping;
                }
            }
            interfaces {
                pp0.0;  #WAN側
            }
        }
    }

 

#interfaceより

interfaces {
    ge-0/0/3 {
        gigether-options {
            redundant-parent reth3;
        }
    }
    ge-0/0/5 {
        gigether-options {
            redundant-parent reth5;
        }
    }
    ge-3/0/3 { #srx320の場合はge-3/0/xでsrx300の場合はge-1/0/xになります
        gigether-options {
            redundant-parent reth3;
        }
    }
    ge-3/0/5 { #srx320の場合はge-3/0/xでsrx300の場合はge-1/0/xになります
        gigether-options {
            redundant-parent reth5;
        }
    }
    fab0 {
        fabric-options {
            member-interfaces {
                ge-0/0/2;
            }
        }
    }
    fab1 {
        fabric-options {
            member-interfaces {
                ge-3/0/2;
            }
        }
    }
    pp0 {
        unit 0 {
            ppp-options {
                chap {
                    default-chap-secret "password"; ## SECRET-DATA
                    local-name "account@provider";
                    passive;
                }
                pap {
                    local-name "account@provider";
                    local-password "password"; ## SECRET-DATA
                    passive;
                }
            }
            pppoe-options {
                underlying-interface reth3.0; #私はreth3にuntrustを設定
                auto-reconnect 10;
                client;
            }
            family inet {
                mtu 1454;
                negotiate-address;
            }
        }
    }
    reth3 {
        redundant-ether-options {
            redundancy-group 1;
        }
        unit 0 {
            encapsulation ppp-over-ether; #rethインターフェースにpppoe宣言
        }
    }
    reth5 {
        redundant-ether-options {
            redundancy-group 1;
        }
        unit 0 {
            family inet {
                address 192.168.1.124; #trust側IP
            }
        }
    }

}

routing-options {
    static {
        route 0.0.0.0/0 {
            qualified-next-hop pp0.0 {
                metric 1;
            }
        }
    }
}

 

と、いう事で?

”encapsulation ppp-over-ether”をrethに設定すればOKでした。

 

しかし、バージョンが新しくなって、またGUIが少し変わりましたね。

正直使いにくい・・・(^^;

 

今度は、回線2本を使っての接続とかそれによるフェイルオーバーってどうやるのかなとか調べてみようかな?